Authentifizierungsserver verwalten
Lenovo XClarity Administrator verwendet standardmäßig einen lokalen LDAP(Lightweight Directory Access Protocol)-Server zur Authentifizierung der Berechtigungsnachweise von Benutzern.
Zu dieser Aufgabe
Unterstützte Authentifizierungsserver
- Lokaler Authentifizierungsserver. XClarity Administrator ist standardmäßig für die Verwendung des eingebetteten LDAP-Servers (Lightweight Directory Access Protocol) konfiguriert, der sich auf dem Verwaltungsserver befindet.
- Externer LDAP-Server. Derzeit werden nur Microsoft Active Directoryund OpenLDAP unterstützt. Dieser Server muss sich auf einem externen Microsoft Windows-Server befinden, der mit dem Verwaltungsnetzwerk verbunden ist.
Wenn ein externer LDAP-Server verwendet wird, ist der lokale Authentifizierungsserver deaktiviert.
AchtungUm die Bindungsmethode für Active Directory so zu konfigurieren, dass Anmeldeinformationen verwendet werden, muss im Baseboard Management Controller für jeden verwalteten Server Firmware ab September 2016 (oder später) ausgeführt werden. Externes Identitätsverwaltungssystem. Derzeit wird nur CyberArk unterstützt.
Wenn Benutzeraccounts für einen ThinkSystem oder ThinkAgile Server auf CyberArk integriert werden, können Sie wählen, dass XClarity Administrator die Anmeldeinformationen für die Anmeldung beim Server bei der Ersteinrichtung der Server zur Verwaltung (mit verwalteter oder lokaler Authentifizierung) von CyberArk abruft. Bevor Anmeldeinformationen von CyberArk abgerufen werden können, müssen die CyberArk-Pfade in XClarity Administrator definiert werden und es muss eine gegenseitige Vertrauensstellung zwischen CyberArk Und XClarity Administrator mithilfe von TLS für gegenseitige Authentifizierung über Clientzertifikate hergestellt werden.
- Externe SAML Identity Provider. Aktuell werden Microsoft Active Directory Federation Services (AD FS) unterstützt. Zusätzlich zur Eingabe eines Benutzernamens und Kennworts kann eine mehrstufige Authentifizierung konfiguriert werden, um zusätzliche Sicherheit zu aktivieren, indem ein PIN-Code, das Lesen einer Smartcard und ein Clientzertifikat erforderlich sind.
Bei Verwendung eines SAML-Servers Identity Provider ist der lokale Authentifizierungsserver nicht deaktiviert. Zur direkten Anmeldung an einem verwalteten Gehäuse oder einem Server (es sei denn, dass in dieser Einheit Encapsulation aktiviert ist), für die PowerShell- und REST-API-Authentifizierung und für die Wiederherstellung bei nicht verfügbarer externer Authentifizierung sind lokale Benutzeraccounts erforderlich.
Sie können sowohl einen externen LDAP-Server als auch einen externen Identity Provider verwenden. Wenn beide aktiviert sind, wird der externe LDAP-Server für die direkte Anmeldung an den verwalteten Einheiten und der Identity Provider für die Anmeldung am Verwaltungsserver verwendet.
Einheitenauthentifizierung
Wenn die lokale Authentifizierung für Rack-Server, Lenovo Gehäuse und Lenovo Rack-Switches verwendet wird, verwendet XClarity Administrator gespeicherte Anmeldeinformationen zur Authentifizierung der Einheit. Bei den gespeicherten Anmeldeinformationen kann es sich um einen aktiven Benutzeraccount auf der Einheit oder um einen Benutzeraccount auf dem Active Directory-Server handeln.
Sie müssen gespeicherte Anmeldeinformationen in XClarity Administrator erstellen, die mit einem aktiven Benutzeraccount auf der Einheit oder mit einem Benutzeraccount auf einem Active Directory-Server übereinstimmen, bevor Sie die Einheit über die lokale Authentifizierung verwalten können (siehe Gespeicherte Anmeldeinformationen verwalten).
Anmerkung- Wenn die lokale Authentifizierung für eine Einheit aktiviert ist, können Sie mit XClarity Administrator keine gespeicherten Anmeldeinformationen für diese Einheit bearbeiten.
- RackSwitch-Einheiten unterstützen nur gespeicherte Anmeldeinformationen für die Authentifizierung. XClarity Administrator-Benutzeranmeldeinformationen werden nicht unterstützt.
Mit der verwalteten Authentifizierung können Sie mehrere Einheiten mithilfe von Anmeldeinformationen auf dem XClarity Administrator-Authentifizierungsserver anstatt lokaler Anmeldeinformationen verwalten und überwachen. Wenn die verwaltete Authentifizierung für eine Einheit (außer ThinkServer-Server, System x M4-Servern und Switches) verwendet wird, konfiguriert XClarity Administrator die Einheit und deren installierte Komponenten zur Verwendung eines bestimmten XClarity Administrator-Authentifizierungsservers für eine zentrale Verwaltung.
- Wenn die verwaltete Authentifizierung aktiviert ist, können Sie Einheiten entweder über manuell eingegebene oder gespeicherte Anmeldeinformationen verwalten (siehe Benutzeraccounts verwalten und Gespeicherte Anmeldeinformationen verwalten).
Die gespeicherten Anmeldeinformationen werden nur verwendet, bis XClarity Administrator die LDAP-Einstellungen auf dem Gerät konfiguriert. Danach haben Änderungen an den gespeicherten Anmeldeinformationen keine Auswirkungen auf die Verwaltung oder Überwachung dieser Einheit.
- Wenn Sie den lokalen oder externen LDAP-Server als XClarity Administrator-Authentifizierungsserver nutzen, werden auf diesem Authentifizierungsserver definierte Benutzeraccounts für die Anmeldung bei XClarity Administrator, CMMs und BMCs (Baseboard Management Controllern) in der XClarity Administrator-Domäne verwendet. Lokale CMM- und Management-Controller-Benutzeraccounts werden deaktiviert.AnmerkungBei ThinkEdge SE450, SE350 V2 und SE360 V2 Servern bleibt der lokale Standardbenutzeraccount aktiviert und alle anderen lokalen Accounts sind deaktiviert.
- Bei Verwendung eines SAML 2.0 Identity Provider als XClarity Administrator-Authentifizierungsserver sind SAML-Accounts für verwaltete Einheiten nicht zugänglich. Wenn Sie jedoch einen SAML Identitiy Provider und einen LDAP-Server zusammen verwenden und der Identity Provider Konten nutzt, die sich auf dem LDAP-Server befinden, können LDAP-Benutzeraccounts zur Anmeldung bei den verwalteten Einheiten und gleichzeitig modernere von SAML 2.0 bereitgestellte Authentifizierungsmethoden (z. B. mehrstufige Authentifizierung und Single Sign-on) zur Anmeldung bei XClarity Administrator verwendet werden.
- Mit Single Sign-On kann sich ein Benutzer, der bereits bei XClarity Administrator angemeldet ist, automatisch beim Baseboard Management Controller anmelden. Single Sign-On ist standardmäßig aktiviert, wenn ein ThinkSystem oder ThinkAgile Server von XClarity Administrator verwaltet wird (es sei denn, der Server wird mit CyberArk-Kennwörtern verwaltet). Sie können global konfigurieren, dass Single Sign-On für alle verwalteten ThinkSystem und ThinkAgile Server aktiviert oder deaktiviert ist. Das Aktivieren von Single Sign-On für einen bestimmten ThinkSystem und ThinkAgile Server überschreibt die globale Einstellung für alle ThinkSystem und ThinkAgile Server (siehe Server verwalten).AnmerkungSingle Sign-On ist automatisch deaktiviert, wenn das CyberArk Identitätsverwaltungssystem zur Authentifizierung verwendet wird.
- Wenn die verwaltete Authentifizierung für ThinkSystem SR635 und SR655 Server aktiviert ist:
- Die Baseboard Management Controller-Firmware unterstützt bis zu fünf LDAP-Benutzerrollen. XClarity Administrator fügt diese LDAP-Benutzerrollen während der Verwaltung zu den Servern hinzu: lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin und lxc-os-admin.
Benutzern muss mindestens eine der angegebenen LDAP-Benutzerrollen zugeordnet werden, damit sie mit den ThinkSystem SR635 und SR655 Servern kommunizieren können.
- Die Management-Controller-Firmware unterstützt keine LDAP-Benutzer mit demselben Benutzernamen wie der lokale Benutzer des Servers.
- Die Baseboard Management Controller-Firmware unterstützt bis zu fünf LDAP-Benutzerrollen. XClarity Administrator fügt diese LDAP-Benutzerrollen während der Verwaltung zu den Servern hinzu: lxc-supervisor, lxc-sysmgr, lxc-admin, lxc-fw-admin und lxc-os-admin.
Für ThinkServer- und System x M4-Server wird der XClarity Administrator-Authentifizierungsserver nicht verwendet. Stattdessen wird ein IPMI-Account in der Einheit mit dem Präfix
LXCA_
erstellt, auf das eine willkürliche Zeichenfolge folgt. (Die vorhandenen lokalen IPMI-Benutzeraccounts werden nicht deaktiviert.) Wenn Sie die Verwaltung eines ThinkServer-Servers beenden, wird der BenutzeraccountLXCA_
deaktiviert und das PräfixLXCA_
wird durch das PräfixDISABLED_
ersetzt. Um festzustellen, ob ein ThinkServer-Server durch eine andere Instanz verwaltet wird, sucht XClarity Administrator nach IPMI-Accounts mit dem PräfixLXCA_
. Wenn Sie sich dazu entschließen, die Verwaltung eines verwalteten ThinkServer-Servers zu erzwingen, werden alle IPMI-Accounts in der Einheit mit dem PräfixLXCA_
deaktiviert und umbenannt. IPMI-Konten, die nicht mehr verwendet werden, sollten Sie manuell löschen.Wenn Sie manuell eingegebene Anmeldeinformationen verwenden, werden in XClarity Administrator automatisch gespeicherte Anmeldeinformationen erstellt und zur Verwaltung der Einheit verwendet.
AnmerkungWenn die verwaltete Authentifizierung für ein Gerät aktiviert ist, können Sie mitXClarity Administrator keine gespeicherten Anmeldeinformationen für dieses Gerät bearbeiten. - Jedes Mal, wenn Sie ein Gerät mit manuell eingegebenen Anmeldeinformationen verwalten, werden auch dann neue gespeicherte Anmeldeinformationen für dieses Gerät erstellt, wenn bei einem vorherigen Verwaltungsprozess andere gespeicherte Anmeldeinformationen für dieses Gerät erstellt wurden.
- Wenn Sie die Verwaltung eines Geräts aufheben, löscht XClarity Administrator keine gespeicherten Anmeldeinformationen, die während des Verwaltungsprozesses automatisch für dieses Gerät erstellt wurden.
- Wenn die verwaltete Authentifizierung aktiviert ist, können Sie Einheiten entweder über manuell eingegebene oder gespeicherte Anmeldeinformationen verwalten (siehe Benutzeraccounts verwalten und Gespeicherte Anmeldeinformationen verwalten).
Wiederherstellungsaccount
Wenn Sie ein Kennwort für die Wiederherstellung angeben, deaktiviert XClarity Administrator den Benutzeraccount für das lokale CMM oder den Management-Controller und erstellt einen neuen Benutzeraccount für die Wiederherstellung (RECOVERY_ID) auf der Einheit für die künftige Authentifizierung. Wenn der Verwaltungsserver ausfällt, können Sie sich, bis der Verwaltungsknoten wieder verfügbar ist oder ausgetauscht wurde, über den Account RECOVERY_ID an der Einheit anmelden, um Aktionen zum Wiederherstellen der Accountverwaltungsfunktionen auf der Einheit durchzuführen.
Wenn Sie die Verwaltung einer Einheit aufheben, die über einen Benutzeraccount RECOVERY_ID verfügt, werden alle lokalen Benutzeraccounts aktiviert und der Account RECOVERY_ID wird gelöscht.
- Wenn Sie Änderungen an den deaktivierten lokalen Benutzeraccounts vornehmen (z. B. ein Kennwort ändern), haben diese Änderungen keinerlei Auswirkungen auf den Account RECOVERY_ID. Im Modus „Verwaltete Authentifizierung“ ist der Account RECOVERY_ID der einzige aktive und betriebsbereite Benutzeraccount.
- Verwenden Sie den Account RECOVERY_ID nur in Notfällen, z. B. bei Ausfall des Verwaltungsserver oder wenn ein Netzwerkproblem verhindert, dass die Einheit zur Benutzerauthentifizierung mit XClarity Administrator kommuniziert.
- Das Kennwort RECOVERY_ID wird angegeben, wenn Sie das Gerät erkennen. Notieren Sie sich das Kennwort für die spätere Verwendung.
- RackSwitch-Einheiten unterstützen nur gespeicherte Anmeldeinformationen für die Authentifizierung. XClarity Administrator-Benutzeranmeldeinformationen werden nicht unterstützt.
Informationen zum Wiederherstellen einer Einheitenverwaltung erhalten Sie in den Abschnitten Verwaltung mit einem CMM nach einem Verwaltungsserverausfall wiederherstellen und Rack- oder Tower-Serververwaltung nach einem Verwaltungsserverausfall wiederherstellen.